我想构建一个Oauth v2登录系统。我得到了一个client_secret,意思是不透露。由于该项目是开源的,我应该如何隐藏其他人的client_secret。是否有一个系统只有原始创建者才能访问这些敏感数据?
还建议在后端文件中保存Auth令牌并使用函数来调用它吗?方法是否有任何安全问题?
我的项目是JS,React和节点,如果有帮助的话。
答案 0 :(得分:2)
最简单的方法是创建一个在启动时由项目读取的配置文件。此配置文件不会包含在源代码存储库中,只会包含不包含client_secret的示例版本。
此外,添加一个自述文件,描述获取client_secret的位置和方式以及如何制作有效的配置文件。